Informazioni sul CVE-2024-10019

Path Traversal and OS Command Injection in parisneo/lollms-webui

CWE ID: CWE-23

Base Score (CVSS): N/A

CVE: CVE-2024-10019

Descrizione: Una vulnerabilità nella funzione `start_app_server` del Parisneo/lollms-webui V12 (Strawberry) consente di eseguire percorsi non validi e iniezione di comandi del sistema operativo. La funzione non sanifica correttamente il parametro `app_name`, consentendo a un attaccante di caricare un file Python malevolo `server.py` e eseguire codice arbitrario sfruttando la vulnerabilità di percorsi non validi.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://huntr.com/bounties/3cf80890-2d8a-4fc7-8e0e-6d4bf648b3ea

Prodotti interessati

parisneo – parisneo/lollms-webui

Relazioni con altri prodotti

Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-23
CVSS: 0.0